DSM 6.x und darunter Automatische IP-Blockierung

[Laufzeitfehler]

Hallo zusammen,

ich bin neu hier und habe mit der DS216j gerade meine erste NAS erworben, um endlich von den FremdCloud-Anbietern wegzukommen. Außerdem bin ich ein Selbermacher und Spielkind. Ich hatte keinen Bock mehr auf Dropbox, Google Drive und Co. Alles was die DiskStation sonst noch so kann wäre Beiwerk, ich brauche hauptsächlich den Überall-Zugriff auf meine Daten von verschiedenen Geräten mit noch verschiedenerereren Betriebssystemen (Win7, Win10, Ubuntu, Mint, android, iOS) und die Möglichkeit Photoalben zu teilen.

Ich richte gerade meine DS dafür ein, aus Sicherheitsgründen erstmal mit einem Minimal-Datensatz. Dabei tauchen natürlich Fragen auf, die ich gerne hier stellen würde. Jetzt geht's los:

Ich greife per DDNS (selfhost) auf meine DS zu. Ich habe ein paar Ports freigegeben (SSH, WebDav, HTTPS, ...). Daraufhin kamen direkt die ersten Emails von der DS über blockierte IPs. Das habe ich mir dann mal angeschaut und die Blockierregeln etwas verschärft (Dauerhafte Blockierung nach 3 Fehlversuchen in 5 Minuten). Seitdem habe ich jetzt etwa 100 Emails zu blockierten IPs (über SSH) innerhalb von etwas mehr als einem Tag erhalten. Ist das normal? Das erscheint mir schon irgendwie sehr viel, aber ich habe da keine Erfahrungswerte. Kann man sich da anderweitig noch irgendwie absichern oder gibt es sogar Wege, die Zahl der Angriffe zu reduzieren?

 

[heavy]

Willkommen im Forum.
Warum gibst du die Hintertür zu deiner DS fürs Internet frei? SSH sollte nur über einen VPN Tunnel erreichbar sein. Und 100 sind eigentlich sogar noch wenig.

 

[tproko]

Man kann theoretisch IPs whitelisten. Mit den ganzen mobilen Geräten und den dahinterstehenden NAT Pools und den mega dynamischen IPs wird das aber sehr schwer.
Falls du den Zugriff von außen nur für dich und einen kleinen Kreis machst, kann ich dir ebenfalls nur zu VPN raten.

 

[laserdesign]

Hallo und willkommen hier im Forum,

wenn du ssh ( Port 22) nach aussen frei gibst hast du diese vermehrten Einwahlversuche, ist eigentlich normal.
Ein starkes Passwort und den Port 22 nur bei Bedarf öffnen.
Den Port 22 auf einen unprivilegierten Port legen.
Das Portforwarding so einrichten das der Port 22 nicht nach aussen sichtbar ist.
Oder aber alles durch einen VPN-Tunnel jagen.

Das wären so die grundsätzlichen Möglichkeiten.

 

[Laufzeitfehler]

Hallo,

danke schonmal für die Antworten. Ich arbeite beruflich nur auf Linuxsystemen und da auch viel im Terminal. Da melde ich mich auch dauernd per SSH auf unseren Großrechnern an und irgendwie dachte ich, das wäre eine gute Möglichkeit auch auf meine DS zuzugreifen. Zugegebenermaßen habe ich aber von dem ganzen Netzgewerke und den verschiedenen Protokollen nicht viel Ahnung. Ich habe auch schon mal unter Linux und Windows WebDAV und FTP-Ordner eingebunden, allerdings waren die immer von anderen Menschen administriert worden.

Dann fangen wir mal anders an. Ich möchte...
... von extern lesend und schreiben auf ALLE Daten zugreifen können (nur ich natürlich).
... Photoalben und private Videos von außerhalb betrachten und auch sichern können (im Urlaub vom Laptop, sonst auch automatisch vom Smartphone,,....)
... von Extern meine MP3-Sammlung hören können
... Photoalben an fremde betrachter gezielt teilen können
... Einzelne Ordner mit anderen gemeinsam bearbeiten können (das ganze möglichst einfach für die anderen, schön wäre mit Versionsverwaltung, sowas wie owncloud?)

Insgesamt reden wir hier von maximal 10 Nutzern(gleichzeitig vermutlich nie mehr als 2), die unterschiedliche Rechte haben werden:
- alles lesen und schreiben (ich)
- alles lesen, manches schreiben
- manches lesen, manches schreiben
- manches lesen, nix schreiben

Die anderen Nutzer haben quasi alle keine Ahnung, was da passiert und wären auch mit Dropbox voll zufrieden und wollen auch nicht viel mehr nachdenken müssen als bei einer Dropbox-Installation oder bei google-docs-Nutzung.

Die entsprechenden Ordner sollen dann möglichst einfach in die entsprechenden Dateisysteme eingebunden werden können.

Welche Protokolle oder sogar Apps sind da empfehlenswert? VPN, FTP, WebDAV, SSH, owncloud, was ganz anderes? Irgendwie fehlt mir da der Ansatz oder auch mal ein Vergleich der ganzen Möglichkeiten mit Erklärung für Dummies....

 

[Laufzeitfehler]

Hallo und willkommen hier im Forum,

wenn du ssh ( Port 22) nach aussen frei gibst hast du diese vermehrten Einwahlversuche, ist eigentlich normal.
Ein starkes Passwort und den Port 22 nur bei Bedarf öffnen.
Den Port 22 auf einen unprivilegierten Port legen.
Das Portforwarding so einrichten das der Port 22 nicht nach aussen sichtbar ist.
Oder aber alles durch einen VPN-Tunnel jagen.

Das wären so die grundsätzlichen Möglichkeiten.

Danke für die Antwort.

Port 22 ist standard bei SSH und "unpriviligiert" wären dann alle anderen, richtig? Das Portforwarding würde ich dann so einstellen, dass Port 22 meines Routers gar nicht sichtbar ist, aber Port 1234 (beispielsweise) auf Port22 der DS weiterleitet, richtig? Aber scheinbar sollte ich mir mal "VPN für dummies" suchen...

 

[NSFH]

SSH wäre nur was für die Administration.
Dir stehen 2 vernünftige Wege offen:
WebDav über Port 5006 ist der einfachste (nur HTTPS verwenden)
VPN der wohl Sicherste Weg, musst da allerdings mehrere Hürden überspringen, wobei das grösste Problem immer bei den Mitbenutzern liegt, denn denen musst du VPN auf den PCs einrichten.
Mit WebDav gestaltet sich das viel einfacher.

 

[tproko]

Also ich würde dir raten, für dich OpenVpn einzurichten und sämtliche Zugänge inkl. Fotos, Musik, ssh Zugang etc. klappt damit direkt wie wenn du im eigenen Netz bist. Gibt mittlerweile für Windows, Linux, Android und iPhone gute Clients für den Einstieg.

Weitere Zugänge für außen (Photostation, Webdav) kannst du später noch immer gezielt frei geben. Hier dann im Idealfall für eingeschränkte Benutzerkreise (nicht Admins). Damit hast du den Angriffsvektor weitgehend reduziert.